Kaspersky Press Release Octubrerojo

Anuncio
NOTA DE PRENSA
Kaspersky Lab identifica Octubre Rojo: nueva campaña de
ciberespionaje avanzado a gran escala, dirigido a organismos
diplomáticos y gobierno de todo el mundo
 Los atacantes han creado un malware único capaz de robar información de
sistemas informáticos de organizaciones, equipos de red empresarial y
teléfonos móviles
 El objetivo principal de esta campaña se dirige a países de Europa Oriental, las
repúblicas de la antigua URSS y países de Asia Central, aunque las víctimas
se encuentran en Europa Occidental y América del Norte
 Se han registrado más de 55.000 conexiones de víctimas desde unas 250
direcciones IP infectadas en 39 países. La mayoría de las conexiones
procedían de Suiza, seguido por Kazajstán y Grecia. España representa el 2%
de las infecciones
Madrid, 14 de enero de 2013 – Kaspersky Lab ha publicado hoy un informe de investigación que
identifica una nueva campaña de ciberespionaje dirigida contra organizaciones diplomáticas,
centros de investigaciones científicas y organismos gubernamentales en varios países, que lleva
operando desde hace al menos cinco años. Esta campaña se dirige principalmente a países de
Europa Oriental, las exrepúblicas de la antigua URSS y los países de Asia Central, aunque las
víctimas se encuentran en todas partes de Europa Occidental y América del Norte.
El principal objetivo de los creadores era obtener documentación sensible de las organizaciones
comprometidas, que incluyeran datos de inteligencia geopolítica, así como credenciales de acceso
a sistemas clasificados de ordenadores, dispositivos móviles personales y equipos de red.
Page 1
En octubre de 2012, el equipo de expertos de Kaspersky Lab inició una investigación, a raíz de
una serie de ataques dirigidos contra redes informáticas internacionales de distintas agencias de
servicios diplomáticos. Según el informe de análisis de Kaspersky Lab, la Operación Octubre Rojo,
también llamada “Rocra” por sus siglas en inglés, todavía sigue activa y lleva operando desde
2007.
Principales datos:
Red de Ciberespionaje Avanzado Octubre Rojo: Los ataques han estado activos por lo menos
desde 2007 y se han centrado en las agencias diplomáticas y gubernamentales de diversos países
de todo el mundo, además de instituciones de investigación, grupos energéticos y nucleares,
comercio y objetivos aeroespaciales. Los atacantes Octubre Rojo diseñaron su propio malware,
identificado como "Rocra", que tiene su propia arquitectura modular única compuesta por
extensiones, módulos maliciosos para robo de información y puertas traseras.
Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a
sistemas adicionales. Por ejemplo, las credenciales robadas se recogían en una lista que se
reutilizaba cuando los atacantes necesitan acceso a nuevos sistemas.
Para controlar la red de equipos infectados, crearon más de 60 nombres de dominio y los
hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia. El
análisis del C&C realizado por Kaspersky Lab muestra que la infraestructura de la cadena de
servidores estaba trabajando como proxies (equipos intermedios) para ocultar la ubicación del
servidor de control principal.
La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc,
vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis,
xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. La extensión “acid” concretamente
aparece para referirse al software clasificado "Acid Cryptofiler" utilizado por entidades como la
Unión Europea o la OTAN para cifrar sus archivos.
Page 2
Víctimas infectadas
Los ciberdlincuentes atacaban los equipos de las víctimas mediante una campaña de phishing
personalizada que incluía un troyano en un archivo adjunto. El troyano instalaba el malware a
través de explotar vulnerabilidades de seguridad dentro de Microsoft Office y Microsoft Excel.
Algunos de estos exploits se han localizado en otras campañas de ciberataques, como las
realizadas contra los activistas del Tíbet y contra el sector energético en Asia. En este caso, la
única variación introducida en el documento utilizado por Rocra se encuentra en el ejecutable
integrado que los atacantes sustituyeron por su propio código.
Tenemos algunas pistas que pueden indicar que los desarrolladores del código malicioso utilizaban
el idioma Ruso. En particular, uno de los comandos en el troyano cambia el código de página de un
equipo infectado a 1251, código requerido para representar fuentes cirílicas.
Organizaciones y víctimas objetivo
Los expertos de Kaspersky Lab emplearon dos métodos para analizar las víctimas afectadas. Para
ello, primero utilizaron las estadísticas de detección de Kaspersky Security Network (KSN), un
servicio de seguridad basado en la nube incluido en los productos de Kaspersky para reportar
telemetría e implementar protección avanzada para las amenazas a través de listas negras y reglas
heurísticas.
KSN detectó el código del exploit utilizado por esta campaña en 2011, lo que ha permitido al equipo
de expertos de Kaspersky Lab rastrear detecciones relacionadas con Rocra. El segundo método
utilizado por el equipo de investigación fue crear un servidor sinkhole para poder monitorizar los
equipos infectados conectándose a los servidores C2 de Rocra. Los datos recopilados por ambos
métodos fructificaron en dos formas independientes de correlacionar y confirmar sus hallazgos:
 KSN estadísticas: se detectaron varios cientos de sistemas únicos infectados a través de
los datos de KSN, con foco en múltiples embajadas, redes gubernamentales y
organizaciones, institutos de investigación científica y consulados. Según los datos de KSN,
la mayoría de las infecciones fueron identificadas sobre todo en Europa del Este, pero otras
infecciones también en América del Norte y los países de Europa occidental, como Suiza y
Luxemburgo
Page 3
 Estadísticas Sinkhole: el análisis del sinkhole de Kaspersky Lab se llevó a cabo desde
noviembre de 2012 a enero de 2013. Durante ese tiempo, se registraron más de 55.000
conexiones desde unas 250 direcciones IP infectadas registradas en 39 países. La mayoría
de las conexiones IP infectadas procedían de Suiza, seguido por Kazajstán y Grecia.
España representa el 2% de las infecciones.
Malware Rocra: arquitectura única y características
Los atacantes crearon una plataforma de ataque multifuncional que incluía diferentes extensiones y
archivos maliciosos diseñados para adaptarse rápidamente a la configuración de distintos sistemas
y extraer la inteligencia de los equipos infectados. Esta plataforma es única de Rocra y no había
sido identificada por Kaspersky Lab en ninguna campaña de ciberespionaje previa. Entre sus
características más destacadas se encuentran:
 Módulo de resurrección: un único módulo permite a los atacantes “resucitar” los equipos
infectados. El módulo está embebido en un plug in dentro de Adobe Reader y en la
instalación de Microsoft Office, y proporciona al cibercriminal una fórmula para poder reacceder a los sistemas objetivo del ataque en caso de que el cuerpo principal del malware
sea detectado y eliminado o si el sistema es parcheado. Una vez que los C2s están
operativos de nuevo, el atacante envía un documento especializado (PDF o Office) a los
equipos de las víctimas vía email y el malware se activa de nuevo.
 Módulos criptográficos de espionaje avanzado: el principal objetivo de los módulos de
espionaje es el robo de información. Incluye archivos de diferentes sistemas criptográficos,
como Acid Cryptofiler, que es conocido por ser utilizado en organizaciones como la OTAN,
la Unión Europea, el Parlamento Europeo y la Comisión Europea desde el verano de 2011
para proteger información sensible.
 Dispositivos móviles: además de atacar estaciones de trabajo tradicionales, el malware es
capaz de robar datos de dispositivos móviles, como smartphones (iPhone, Nokia y
Windows Mobile). El malware también es capaz de robar información sobre la configuración
de equipos en redes corporativas como routers o switches, así como archivos borrados de
discos duros externos.
 Identificación del atacante: en base al registro de datos en los servidores C2 y de los
numerosos artefactos que se dejan en los ejecutables del malware, existe una importante
evidencia técnica que indica que los atacantes tienen orígenes relacionados con el idioma
ruso. Además, los ejecutables utilizados eran desconocidos hasta hace poco y no han sido
Page 4
identificados por los expertos de Kaspersky Lab en análisis de ataques de ciberespionaje
previos.
Kaspersky Lab, en colaboración con organizaciones internacionales, agentes de ejecución de la ley
y CERTs (equipos de respuesta a emergencias informáticas) continúa su investigación sobre Rocra
facilitando su conocimiento técnico y sus recursos para procesos de resolución y mitigación.
A Kaspersky Lab le gustaría expresar su agradecimiento a: US-CERT, el
CERT Rumano y
Bielorruso por su ayuda con la investigación.
Los productos Kaspersky Lab detectan el malware Rocra, clasificado como
Backdoor.Win32.Sputnik, lo bloquean y desactivan
Más información:
http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espion
age_Network_Targeting_Diplomatic_and_Government_Agencies
Kaspersky Lab
Kaspersky Lab es la mayor compañía antivirus de Europa. Kaspersky Lab proporciona una de las
protecciones más inmediatas del mundo contra amenazas a la seguridad informática, incluyendo virus,
programas espía, fraudes cibernéticos, ataques de hacker, robo de información confidencial y correo spam.
La compañía es uno de los cuatro principales fabricantes mundiales de soluciones de seguridad informática
para usuarios finales. Los productos y soluciones de Kaspersky Lab proporcionan uno de los tiempos de
respuesta más rápidos y de los niveles de detección más altos de la industria, tanto para usuarios
particulares, pequeñas y medianas empresas y grandes corporaciones, como para el entorno informático
móvil. La tecnología de Kaspersky® también se integra como parte de otros productos y servicios
proveedores líderes soluciones informáticas de seguridad.
Para obtener más información, visite www.kaspersky.es. Para obtener información más reciente sobre
antivirus, antiespías, antispam y otras amenazas informáticas, además de las últimas tendencias, visite
www.viruslist.es
Síguenos en:
http://twitter.com/#!/KasperskyES
http://www.facebook.com/kasperskyes
http://www.youtube.com/user/kasperskyespana
Page 5
Para más información, contactar con:
eVerythink PR
Virginia Frutos
Tel. +34 91 433 63 60
Mov: 670 502 902
Email: virginia.frutos@everythinkpr.com
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52
Email:
vanessa.gonzalez@kaspersky.com
© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servicios de
Kaspersky Lab quedan establecidas de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos
y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hace
responsable de los errores técnicos o editoriales u omisiones presentes en el texto.
Page 6
Descargar